모바일 보안의 특수성
모바일 기기는 개인 데이터 집중, 분실·도난 위험, 다양한 앱 생태계로 인해 고유한 보안 위협을 가집니다. 정보보안기사 시험에서는 OWASP Mobile Top 10, MDM/MAM/EMM, 모바일 위협 방어(MTD), 앱 서명 메커니즘이 핵심 출제 범위입니다.
OWASP Mobile Top 10 2024
- M1 자격증명 사용 부적절(Improper Credential Usage): 앱 내 하드코딩된 자격증명, 안전하지 않은 전송
- M2 부적절한 공급망 보안: 서드파티 라이브러리, SDK 취약점
- M3 안전하지 않은 인증/인가: 취약한 토큰, 바이패스 가능한 인증
- M4 불충분한 I/O 유효성 검사: 입력값 검증 미흡으로 인한 인젝션
- M5 안전하지 않은 통신: 인증서 고정(Certificate Pinning) 미적용, 평문 전송
- M6 부적절한 프라이버시 제어: 과도한 권한 요청, 민감 데이터 수집
- M7 부족한 바이너리 보호: 난독화 미적용, 리버스 엔지니어링 취약
- M8 보안 설정 오류: 디버그 모드 활성화, 백업 허용
- M9 안전하지 않은 데이터 저장: 로컬 평문 저장, 캐시 민감 데이터
- M10 불충분한 암호화: 취약한 알고리즘, 잘못된 키 관리
MDM / MAM / EMM
- MDM(Mobile Device Management): 기기 수준 관리. 원격 초기화, 잠금, 암호화 정책 적용. BYOD 환경에서 프라이버시 우려
- MAM(Mobile Application Management): 앱 수준 관리. 업무 앱만 제어. 개인 앱 불간섭. BYOD 친화적
- EMM(Enterprise Mobility Management): MDM + MAM + MCM(컨텐츠) 통합. Microsoft Intune, VMware Workspace ONE
앱 서명과 코드 보호
- Android APK 서명: 개발자가 APK에 디지털 서명. Android 7.0+는 APK Signature Scheme v2/v3 지원
- iOS 코드 서명: Apple 개발자 인증서로 앱 서명. 기기는 설치 전 서명 검증
- 탈옥(Jailbreak)/루팅(Rooting): OS 보안 제한 우회. 무결성 검사 우회, 악성 앱 설치 위험
- 루트 감지(Root Detection): 앱이 기기 루팅/탈옥 여부를 탐지해 실행 차단
모바일 위협 방어(MTD)와 인증서 고정
MTD(Mobile Threat Defense): 모바일 기기에서 네트워크·앱·기기·피싱 위협을 실시간 탐지. Zimperium zIPS, Lookout, Symantec Endpoint Protection Mobile
인증서 고정(Certificate Pinning): 앱이 서버 공개키/인증서를 사전에 내장하여 중간자 공격 방지. 인증서 갱신 시 앱 업데이트 필요
정보보안기사 기출 핵심 정리
- OWASP Mobile Top 10: M1 자격증명 부적절, M5 안전하지 않은 통신, M9 안전하지 않은 저장
- MDM = 기기 전체 관리, MAM = 앱만 관리(BYOD 친화적)
- 탈옥/루팅 = OS 보안 제한 우회 = 높은 보안 위험
- 인증서 고정 = MITM 공격 방지, 키 하드코딩
- EMM = MDM + MAM + MCM 통합 솔루션